ICS35.240.40
A11
JR 中华人民共和国金融行业标准
JR/T XXXXX—XXXX
中国金融移动支付应用安全规范
China financial mobile payment--Security specification for application
(报批稿)
(本稿完成日期:2012年10月22日)
XXXX-XX-XX发布XXXX-XX-XX实施
目次
前言................................................................................ II 引言............................................................................... III
1 范围 (1)
2 规范性引用文件 (1)
3 系统安全 (1)
4 移动终端安全 (3)
5 受理终端安全 (3)
6 交易安全 (4)
7 密钥体系 (6)
8 安全管理 (9)
前言
本标准按照GB/T1.1-2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准负责起草单位:。
本标准参加起草单位:。
本标准主要起草人:。
引言
移动支付是一种涉及多个行业的新兴支付方式,近年来在国内外迅速发展且发展前景及潜力巨大。当前,随着移动支付的发展,移动支付应用将逐渐增多,亦面临着一系列风险,包括资金安全风险、交易欺诈风险、个人信息泄露风险、风险、网络攻击风险等。
本规范在收集、分析和评估移动支付风险的基础上,从技术、管理、交易过程等方面对移动支付应用安全所涉及的各参与主体提出安全要求。
中国金融移动支付应用安全规范
1 范围
本规范规定了移动支付应用中的安全要求,包括实体安全(如移动终端、受理终端、远程支付系统、收单系统和账户管理系统等实体)、交易安全、密钥体系和安全管理。
本规范适用于参与移动支付业务的设备生产、应用发行、交易管理以及应用系统研制、开发、集成和维护等相关组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 4943.1-2011  信息技术设备安全第1部分:通用要求
GB/T 20988-2007  信息安全技术信息系统灾难恢复规范
GB/T 22081-2008  信息技术安全技术信息安全管理实用规则
GB/T 22239-2008  信息安全技术信息系统安全等级保护基本要求
GM/T 0002-2012  SM4分组密码算法
GM/T 0003-2012  SM2椭圆曲线公钥密码算法
GM/T 0004-2012  SM3密码杂凑算法
JR/T 0025  中国金融集成电路(IC)卡规范
JR/T XXXX  中国金融移动支付受理终端技术要求
JR/T XXXX  中国金融移动支付客户端技术规范
JR/T XXXX  中国金融移动支付安全单元第1部分:通用技术要求
JR/T XXXX  中国金融移动支付可信服务管理技术规范
3 系统安全
3.1 物理安全要求
——按GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》中第三级基本要求中的7.1.1执行;
——应满足GB/T 22239-2008中8.1.1.2的a)和d)项要求。
3.2 网络安全要求
按GB/T 22239-2008中第三级基本要求中的7.1.2执行。
3.3 主机安全要求
按GB/T 22239-2008中第三级基本要求中的7.1.3执行。中国人民银行安全控件下载安装

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。